Registrierung Externer SIP-Benutzer verbieten?

Forum zu LANCOM Systems VoIP Router/Gateways und zur LANCOM VoIP Option

Moderator: Lancom-Systems Moderatoren

sixty
Beiträge: 70
Registriert: 21 Sep 2010, 22:54

Registrierung Externer SIP-Benutzer verbieten?

Beitrag von sixty »

Hallo,

ich weiß, das das Thema "SIP-Benutzer vom WAN registrieren" hier schon öfters diskutiert wurde. Vorweg: Ich brauche das nicht.
LANCOM hat sich aus Sicherheitsgründen lange geweigert, das dann aber aufgrund mehrerer Feature-Wünsche (siehe z.B. hier) wohl doch eingebaut.

ich habe vor kurzem einen 1906VA-4G von Software 10.30.0075 auf 10.42.0743RU3 aktualisiert.
Seitdem ist mir folgendes aufgefallen: Irgend jemand von außen versucht sich ständig auf dem LANCOM zu registrieren.
Die IP selbst (135.181.118.195, bei 1&1 gehostet) ist offensichtlich dafür bekannt und z.B. bei http://www.voipbl.org/ gelistet.
Damit könnte man sie sicherlich in einer speziellen Firewall-Regel aussperren.

Mich interessiert jedoch das generelle Verhalten. Wie gesagt gehe ich mit LANCOM konform, das das ein Sicherheitsrisiko darstellt und (zumindest im Default) nicht sein sollte. Bis zum Firmwareupgrade habe ich derartige Vorgänge auch nicht beobachtet.

Seit dem Update habe ich allerdings permanent ca 5-10 anhängige Registrierungsversuche (siehe Screenshot), sobald einer austimed wird ein neuer mit anderer Nummer gestartet.
SIP-Extern.png
Auf dem Gerät waren zwei SIP-Benutzer angelegt, bei denen ausdrücklich "Zugriff vom WAN: nicht erlaubt" eingetragen war, die habe ich inzwischen deaktiviert (primär werden die Nummern per ISDN an die Telefonanlage weitergegeben) - was ich aber nicht finde ist die Möglichkeit, einen Default für unbekannte Benutzer einzurichten. Mich irritiert, daß bei den unbekannten Benutzern "Zugriff vom WAN: erlaubt" steht.

Das oben blau zensierte ist jeweils die bei VOIP eingetragene Domain in Schema "telefon.firma.de".

Es scheint nichts zu passieren (die geratenen Benutzer existieren nicht und selbst wenn kennt der Angreifer vermutlich nicht das Paßwort) allerdings stören mich die ständigen Meldungen im Lanmonitor und im Logfile.

Hat es zwischen der 10.30 und der 10.42 (ich habe auch in den Releasenotes geschaut, aber es ist ein größerer Sprung und vielleicht habe ich es übersehen) eine Änderung bezüglich des Default-Verhaltens ergeben bzw. gibt es einen neuen Konfigurationsparameter, mit denen man solche Registrierungsversuche vom WAN unterbinden kann?

LANCOM hat auch ein Techpaper zur VoIP-Sicherheit, aber das bezieht sich vorwiegend auf SIP-Leitungen und Trunks, die ich ja brauche (Telekom ALL-IP), nicht aber auf Clients.

Wie gesagt, es scheint nichts schlimmes zu passieren (alle Registrierungen schlagen fehl), aber das Verhalten stört mich.

Was sollte man tun?
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Benutzeravatar
MoinMoin
Moderator
Moderator
Beiträge: 1978
Registriert: 12 Nov 2004, 16:04

Re: Registrierung Externer SIP-Benutzer verbieten?

Beitrag von MoinMoin »

Moin sixty,

da wirst du wohl nach dem Firmwareupdate eine IP-Adresse bekommen haben, auf der vorher eine vom Internet erreichbare SIP TK-Anlage lief. Oder - eher wahrscheinlich - du wirst gerade Opfer eines Angriffs.

User-Registrierungen aus dem WAN sind nach wie vor nur über VPN erlaubt, da hat sich nichts geändert.

Wenn dich die Meldungen stören, kannst du versuchen, eine Portweiterleitung des Ports 5060/UDP an eine intern nicht vergebene Adresse einzurichten. Dann sollte der VCM die Anmeldeversuche nicht mehr sehen.


Ciao, Georg
sixty
Beiträge: 70
Registriert: 21 Sep 2010, 22:54

Re: Registrierung Externer SIP-Benutzer verbieten?

Beitrag von sixty »

Hallo MoinMoin,

Danke für die Antwort.

Ich denke auch, daß es ein Angriffsversuch ist. Wie gesagt, die fragliche IP ist (neben hunderten anderen) auf einer entsprechenden Blacklist eingetragen und damit offensichtlich für dieses Verhalten bekannt.

Beide WAN-IPs des LANCOM sind statisch (Telekom) und haben sich durch das Update nicht geändert. Nur habe ich vorher dieses Verhalten nicht beobachtet, es fiel zeitlich mit dem Update (vor dem ich übrigens auch den Lanmonitor aktualisiert habe) zusammen. Vielleicht hat sich ja auch nur das Anzeigeverhalten geändert, jetzt wird es prominent durch das rote Fehler-Icon angezeigt.

Hat die vorgeschlagene Port-Weiterleitung Einfluß auf die SIP-Leitungen zur Telekom? Oder gehen die an der Port-Weiterleitung vorbei?
Wäre es nicht besser, in der Firewall Port 5060/UDP für alle externen IPs außer tel.t-online.de (217.0.27.53) zu sperren?
Beide DSL-Leitungen sind ALL-IP mit insgesamt 8 Rufnummern, die intern im Moment per ISDN an die PBX weitergegeben werden.
Die zwischenzeitlich eingerichteten (und jetzt deaktivierten) SIP-Benutzer dienten nur dazu den Überlauffall (alle 4 B-Kanäle belegt) abzufangen.
Auf die kann ich verzichten - auf die SIP-Leitungen allerdings natürlich nicht. Ich werde es am Abend mal testen - im Moment besser nicht.

Schöne Grüße
Benutzeravatar
MoinMoin
Moderator
Moderator
Beiträge: 1978
Registriert: 12 Nov 2004, 16:04

Re: Registrierung Externer SIP-Benutzer verbieten?

Beitrag von MoinMoin »

Moin sixty,

die IPv4-Firewall des LANCOM beherrscht keine Inbound-Regeln. Du kannst damit keine an einen internen Dienst gerichteten Pakete abblocken.

Der VCM verwendet für abgehende Registrierungen nicht den lokalen Port 5060. Daher hat die Portweriterleitung keinen Einfluß auf deine Leitungen.

Ciao, Georg
sixty
Beiträge: 70
Registriert: 21 Sep 2010, 22:54

Re: Registrierung Externer SIP-Benutzer verbieten?

Beitrag von sixty »

MoinMoin hat geschrieben: 10 Mai 2021, 09:37Wenn dich die Meldungen stören, kannst du versuchen, eine Portweiterleitung des Ports 5060/UDP an eine intern nicht vergebene Adresse einzurichten. Dann sollte der VCM die Anmeldeversuche nicht mehr sehen.
Danke nochmal.

ich habe jetzt eine solche Weiterleitung eingerichtet (192.168.1.250 existiert nicht):
Mapping.png
Erfolg: Null :?: Die abgehende Telefonie wird nicht gestört, die Registrierungsversuche sind aber unverändert noch da.
Dann muß ich halt damit leben.

Scgöne Grüße
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Benutzeravatar
MoinMoin
Moderator
Moderator
Beiträge: 1978
Registriert: 12 Nov 2004, 16:04

Re: Registrierung Externer SIP-Benutzer verbieten?

Beitrag von MoinMoin »

Moin sixty,

eine Gegenstelle für die Quelle der Pakete hattest du angegeben?

Ciao, Georg
sixty
Beiträge: 70
Registriert: 21 Sep 2010, 22:54

Re: Registrierung Externer SIP-Benutzer verbieten?

Beitrag von sixty »

Mit Absicht nicht - laut Doku betrifft es dann alle Gegenstellen.
Das ist ein 1906VA mit 2 x DLAN100 im Loadbalancing. Ich werde mal den Loadbalancer als Gegenstelle angeben...
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Registrierung Externer SIP-Benutzer verbieten?

Beitrag von Jirka »

Hallo sixty,

ist der Haken 'Lokale Authentifizierung erzwingen' bei SIP-Benutzern gesetzt?

Viele Grüße,
Jirka
sixty
Beiträge: 70
Registriert: 21 Sep 2010, 22:54

Re: Registrierung Externer SIP-Benutzer verbieten?

Beitrag von sixty »

Hallo Jirka,

wie schon beschrieben hatte ich nur zwei Benutzer, die den Überlauf der ISDN-Leitungen auffangen sollten.
Die sind inzwischen deaktiviert. Natürlich hatten sie generierte Paßwörter und haben sich damit authentifiziert.

Es war ja genau meine Frage, wie ich so eine Einstellungen für unbekannte (nicht im LANCOM angelegte) Benutzer vornehmen kann.
Wenn ich es richtig verstehe ist es ja genau so, daß der Angreifer das Paßwort nicht kennt (woher auch, der geratene Benutzer existiert ja gar nicht) und deswegen abgewiesen wird. In anderen Bereichen (z.B. Mailserver) heißt sowas "Grundrauschen" und muß einfach ignoriert werden.
Ob es solche permanenten Registrierungsversuche auch vor dem Firmwareupdate gab weiß ich nicht, auf jeden Fall wurden sie nicht so prominent im Lanmonitor angezeigt - das wäre mir aufgefallen.
SIP-register2.png
Wie man im LANMonitor sieht ist bei den unbekannten Benutzern die Angabe "Zugriff über WAN: erlaubt" angegeben, ich weiß aber nicht wo ich das für unbekannte Benutzer als Default einstellen kann (einen SIP-Benutzer DEFAULT habe ich analog ISDN schon mal angelegt, das hat aber auch nicht geholfen).
Im Trace steht ja auch ausdrücklich "Discarding", eigentlich stört mich nur die Anzeige im Lanmonitor.
SIP-Benutzer.png
Eventuell hat es ja auch etwas mit dem von Koppelfeld hier festgestellten Verhalten zu tun, dort war ja auch ein Update auf die 10.42 im Spiel.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Zuletzt geändert von sixty am 15 Mai 2021, 11:10, insgesamt 1-mal geändert.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Registrierung Externer SIP-Benutzer verbieten?

Beitrag von Jirka »

Hallo,
ich sehe keine Antwort auf meine Frage. Tipp: Der Haken ist nicht in der Tabelle zu finden, sondern unter dem Button zum Aufruf der Tabelle.
sixty
Beiträge: 70
Registriert: 21 Sep 2010, 22:54

Re: Registrierung Externer SIP-Benutzer verbieten?

Beitrag von sixty »

Hallo Jirka,

Danke für Deine Antwort.

Du meinst den:
LocalAuth.PNG
Ja ist er und war es schon immer. Er funktioniert auch (die Telefonanlagenbenutzer brauchen ein gültiges Paßwort).
Wie schon geschrieben schlägt die Authentifizierung der extenen Nutzer ja fehl (soll sie auch), mich stört nur, daß sie überhaupt bis zum VCM durchkommen.

Ich sehe hier Parallelen zu dem von Koppelfeld beschriebenen Verhalten. Dort konnten sich die Benutzer ja auch nicht an der Asterisk anmelden (wäre auch fatal), es wundert nur, wie sie überhaupt bis dorthin kommen.

Schöne Grüße
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Registrierung Externer SIP-Benutzer verbieten?

Beitrag von Jirka »

Hallo sixty,

also Parallelen zu dem Fall von Koppelfeld sehe ich hier nicht, dazu sind die Fälle doch etwas unterschiedlich gelagert. Ich habe mir den Fall eben erst angeschaut, leider wurde er ja noch nicht aufgeklärt, wobei das gar nicht schwierig sein sollte.

Zu Deinem Fall hier: Ich habe das mal eben ausgetestet. Allerdings mit der 10.34(.0365), die auf den Geräten hier läuft. Da ist das Verhalten so, wie es mir bisher bekannt war. Ein Registrierungsversuch WAN-seitig wird nicht beantwortet (und läuft damit in einen Request Timeout). In einem WAN-seitigen Trace, z. B. VDSL-Data, sieht man die eingehenden REGISTER. Im SIP-Packet-Trace hingegen NICHT mehr, dort kommen sie gar nicht an (im Fall von WAN-seitig, über VPN ja). Im LANmonitor (der die uns gerade interessierenden Daten ja auch dem Status-Baum bezieht) sind die Registrierungsversuche folglich auch nicht zu sehen. So war das Verhalten immer und es hätte mich jetzt auch gewundert, wenn es anders ist. Es sind also keine SIP-Benutzer verzeichnet, die da nicht hingehören.

Bei der 10.42.0574 konnte ich das Verhalten ebenfalls nicht nachvollziehen. Du hast noch die 10.42.0473-RU3 (nicht wie oben geschrieben die 10.42.0743). Die 10.42.0574 ist im Beta-Bereich auf dem FTP zu finden. Probierst Du es damit bitte auch noch mal?


Viele Grüße,
Jirka
sixty
Beiträge: 70
Registriert: 21 Sep 2010, 22:54

Re: Registrierung Externer SIP-Benutzer verbieten?

Beitrag von sixty »

Hallo Jirka,

entschuldige bitte den Zahlendreher. Es geht um eine (direkt 'rauskopiert)

Code: Alles auswählen

[LANCOM 1906VA-4G (over ISDN)] v10.42.0473 / 13.04.2021 13.04.21
Das ist die Version, welche man hier für das Gerät herunterladen kann, wenn man nach der aktuellen Release sucht.
Vermutlich (ich habe es nicht ausprobiert) ist das auch die Version, welche man bekommt, wen man automatische Softwareupdates aktiviert.
Die von Dir angegebene Version ist dort nicht gelistet (nur ein Release-Kandidat der 10.50, welchen ich nicht weiter ausprobiert habe, da es sich um ein recht wichtiges Gerät im Produktivbetrieb handelt).
Vorherige Version war die

Code: Alles auswählen

[LANCOM 1906VA-4G (over ISDN)] v10.30.0075 / 08.05.2019 08.05.19
mit welcher das Gerät von der Telekom geliefert wurde.

Die von Dir genannte Version habe ich hier auf dem FTP-Server gefunden.
Glücklicherweise waren am Sonntag wenige Nutzer auf dem Gerät (sollen sie eigentlich auch nicht), so daß ich das Update gewagt habe.
Gottseidank ist das Gerät wieder 'hochgekommen und hat mich 'reingelassen. Sonst hätte ich heute oder morgen ganz früh in die Firma fahren müssen, etwas was ich in der aktuellen Situation (ich bin leider noch nicht geimpft) aus Sicherheitsgründen sehr gerne vermieden hätte.
Jedenfalls waren auch mit dieser Firmware die Registrierungsversuche zu beobachten.

Die von Dir angegebene 10.34(.0365) konnte ich nirgends finden, auf der Homepage ist hier eine 10.34.0305-SU4 und auf dem FTP-Server hier eine als Beta gekennzeichnete 10.34.0371. Erstere habe ich noch getestet, da waren keine Registrierversuche zu beobachten (sagt freilich nicht viel, weil das natürlich auch vom Verhalten des Angreifers abhängig ist, das ich nicht beeinflussen kann).

Anschließend bin ich wieder auf die 10.42.0473 gewechselt, weil das offensichtlich die von Lancom im Moment für dieses Gerät (und scheinbar alle aus dieser Generation) empfohlene Firmware ist.

Grund für den Wechsel waren übrigens Änderungen im IPv6-Bereich. Wir haben seit kurzem eine eigene IPv6-Allokation, die ich gerne über einen 6to4-Tunnel auf das Gerät führen wollte. Bei der 10.30 gab es da ein Problem mit dem Routing, welches die 10.42 offensichtlich behoben hat.
Von daher beobachte ich auch mit Interesse die 10.50, welche dort weitere Verbesserungen (insbesondere bei der Präfix-Translation) bringt, so daß wir uns bald von den von der Telekom zugeteilten Präfixen verabschieden können. Aber das ist ein anderes Thema - für die Tests hatte ich die IPv6-Tunnel abgeschaltet. Deswegen wollte ich auch nicht bei der 10.34 bleiben.

Anschließend habe ich auch noch die weiter oben von MoinMoin vorgeschlagene Lösung mit der Weiterleitung in den verschiedensten Varianten (Port 5060 und 5061 auf eine nicht existierende Adresse zu maskieren) getestet, mit dem LB als Gegenstelle, mit allen Leitungen einzeln, mit WAN-Adresse 0.0.0.0 oder mit den von der Telekom zugewiesenen IPs, Mapping auf andere Ports, Kombination UDP+TCP. geholfen hat alles nicht.

Morgen ist wieder Produktivbetrieb, so daß ich weitere Tests erst mal einstelle. Wie schon geschrieben werde ich mich mit dem aktuellen Verhalten arrangieren. Solange keiner nach Papua-Neugiunea telefonieren kann scheint es ungefährlich zu sein und lediglich ein kosmetisches Problem.

Danke trotzdem für die ausführliche Antwort.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Registrierung Externer SIP-Benutzer verbieten?

Beitrag von Jirka »

Hallo,
sixty hat geschrieben: 16 Mai 2021, 13:29 Gottseidank ist das Gerät wieder 'hochgekommen und hat mich 'reingelassen.
hast Du jetzt gedacht der Router startet dann nicht mehr?
sixty hat geschrieben: 16 Mai 2021, 13:29 Sonst hätte ich heute oder morgen ganz früh in die Firma fahren müssen, etwas was ich in der aktuellen Situation (ich bin leider noch nicht geimpft) aus Sicherheitsgründen sehr gerne vermieden hätte.
Du meinst etwas, was du in der aktuellen Situation aus Sicherheitsgründen sehr gerne vermeiden würdest, denn Du musstest ja gar nicht hin.
Wenn es alles so dramatisch ist, dann hättest Du es auch sagen können, dann hätte ich 10 Minuten mehr investiert und hätte auch noch mal mit Deiner Firmware-Version getestet. Du hättest ja auch bei der 10.42.0574 bleiben können, solange keine Probleme sichtbar sind. Die Firmware ist sicherlich nicht offiziell freigegeben, aber das heißt ja nicht, dass sie schlechter ist als die letzte offiziell freigegebene.
sixty hat geschrieben: 16 Mai 2021, 13:29 Jedenfalls waren auch mit dieser Firmware die Registrierungsversuche zu beobachten.
Ok. Dann muss bei Dir jetzt was anders sein als bei mir. Dann müsste man mal in die Konfig schauen. Oder aber die Angriffe bei Dir laufen anders, als ich sie hier nachstelle.
sixty hat geschrieben: 16 Mai 2021, 13:29 Die von Dir angegebene 10.34(.0365) konnte ich nirgends finden
Ja, das war die (vor-)letzte Beta.
sixty hat geschrieben: 16 Mai 2021, 13:29 sagt freilich nicht viel, weil das natürlich auch vom Verhalten des Angreifers abhängig ist, das ich nicht beeinflussen kann
Na ja, das wäre jetzt der nächste Schritt, mal mitzutracen, was und auf welchem Port da überhaupt was rein kommt.
Der Standard-Internetzugang ist über das oder die interne(n) VDSL-Modem(s)?
Aber da die Registrierungsversuche bei Dir im VCM sichtbar sind, nehme ich an, dass die REGISTER auch im SIP-Packet-Trace zu sehen sind.
Könntest Du dann mal bitte einen SIP-Packet-Trace laufen lassen, da sollten ja 5 Minuten reichen und dann da mal kurz reinschauen, ob Du da die entsprechenden REGISTER-Versuche siehst? Ich hatte hier zuvor noch Filter stehen, habe mich dann aber lieber dafür entschieden, Dich filtern zu lassen :-) Falls sich sehr viele Telefone registrieren, könntest Du die mit der lokalen IP-Adresse des LANCOMs ausfiltern (-1.2.3.4, wenn 1.2.3.4 die lokale IP-Adresse des LANCOMs ist).
sixty hat geschrieben: 16 Mai 2021, 13:29 geholfen hat alles nicht.
Was eventuell auch dafür spricht, dass wir uns der Ursache für das Problem noch nicht wirklich bewusst sind.
sixty hat geschrieben: 16 Mai 2021, 13:29 Morgen ist wieder Produktivbetrieb, so daß ich weitere Tests erst mal einstelle.
Ein SIP-Packet-Trace fällt zum Glück nicht unter einen Test, der läuft nebenher...
sixty hat geschrieben: 16 Mai 2021, 13:29 Wie schon geschrieben werde ich mich mit dem aktuellen Verhalten arrangieren.
Offensichtlich tritt es mit einer älteren Firmware bei Dir ja nicht auf, insofern halte ich das für einen Bug. Möglicherweise jedenfalls, da ich es hier derzeit nicht nachgestellt bekomme.
sixty hat geschrieben: 16 Mai 2021, 13:29 Solange keiner nach Papua-Neugiunea telefonieren kann scheint es ungefährlich zu sein und lediglich ein kosmetisches Problem.
Allerdings ein nicht zu übersehendes kosmetisches Problem...

Viele Grüße,
Jirka
sixty
Beiträge: 70
Registriert: 21 Sep 2010, 22:54

Re: Registrierung Externer SIP-Benutzer verbieten?

Beitrag von sixty »

Hallo Jirka,

sorry, falls das jetzt irgendwie dramatisch geklungen haben sollte. So war es nicht gemeint.
Das Gerät ist nicht auf dem Mars oder so, sondern in der Stadt und im Ernstfall in max. 40 Minuten zu erreichen. Kein Problem.

Natürlich kenne ich die Sicherheitsvorkehrungen vom LANCOM (z.B. nach x fehlgeschlagenen Bootversuchen auf die alternative Firmware wechseln).
Trotzdem ist mir unwohl an dem Ast zu sägen, auf dem ich gerade sitze. Und so viele Firmwareupdates auf LANCOM habe ich noch nicht gemacht.
Ich schreibe selber Software und weiß, daß man sich manchmal auch mit Kleinigkeiten gewaltig in den Fuß schießen kann...

Beim Versuch, einen Trace zu ziehen ist mir allerdings der LANCOM zweimal bei der Verbindung mit PuTTY abgestürzt.
Beim dritten mal habe ich einen anderen Rechner mit anderer PuTTY-Version genommen, dann ging es.
Die Bootlogs sind zur Information am Ende des Traces angefügt. Gut, daß ich es nicht tagsüber gemacht habe...

Der LANCOM hat zwei interne VDSL-Modems, an denen jeweils ein DeutschlandLAN/IP-100 mit fester IPv4/IPv6 und je 4 Telefonnummern anliegt.
(DLAN100-1 und DLAN100-2). Dahinter ist ein symmetrischer Loadbalancer (DLAN100), an den die Default-Route gebunden ist.
Zusätzlich gibt es noch zwei Site2Site-VPNs zu einem anderen Standort.

Der Trace ist angefügt.

Schöne Grüße
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Antworten